【IDC.NET.com原创稿件】在近日举行的网络安全等级保护制度2.0国家标准宣贯会上,公安部信息安全等级保护评估中心测评部主任、等级保护国家标准的主要起草者,马力副研究员介绍了网络安全等级保护2.0标准体系及主要标准,讲解了网络安全等级保护2.0标准的特点和变化,以及框架和内容。
公安部信息安全等级保护评估中心马力副研究员
等级保护2.0标准主要特点
首先,我们来看看网络安全等级保护2.0的主要标准,如下图:
说起网络安全等级保护2.0标准的特点,马力副研究员表示,主要体现在以下三个方面:
一是,对象范围扩大。新标准将云计算、移动互联、物联网、工业控制系统等列入标准范围,构成了“安全通用要求+新型应用安全扩展要求”的要求内容。
二是,分类结构统一。新标准“基本要求、设计要求和测评要求”分类框架统一,形成了“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”支持下的三重防护体系架构。
三是,强化可信计算。新标准强化了可信计算技术使用的要求,把可信验证列入各个级别并逐级提出各个环节的主要可信验证要求。
“标准从一级到四级全部提出了可信验证控件。但在标准的试用期间,对于可信验证的落地还存在诸多挑战。所以,我们希望与这次参会的所有硬件厂商、软件厂商、安全服务商共同努力,把可信验证、可信计算这方面的产品产业化,来更好地支撑新标准。” 马力副研究员说到。
等级保护2.0标准的十大变化
随后,他为大家解读了等级保护2.0标准的十大变化,具体如下:
1、名称的变化
从原来的《信息系统安全等级保护基本要求》改为《信息安全等级保护基本要求》,再改为《网安全等级保护基本要求》。
2、对象的变化
原来的对象是信息系统,现在等级保护的对象是网络和信息系统。安全等级保护的对象包括网络基础设施(广电网、电信网、专用通信网络等)、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统等。
3、安全要求的变化
由“安全要求”改为“安全通用要求和安全扩展要求”。
安全通用要求是不管等级保护对象形态如何必须满足的要求,针对云计算、移动互联、物联网和工业控制系统提出了特殊要求,成为安全扩展要求。
4、章节结构的变化
第三级安全要求的目录与之前版本明显不同,以前包含技术要求、管理要求。现在的目录包含:安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求。
对此,马力副研究员指出:“别小看只是目录架构的变化,这导致整个新标准的使用不同。1.0标准规定技术要求和管理要求全部实现。现在需要根据场景选择性的使用通用要求+某一个扩展要求。”
5、分类结构的变化
在技术部分,由物理安全、网络安全、主机安全、应用安全、数据安全,变更为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心;在管理部分,结构上没有太大的变化,从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理,调整为安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
6、增加了云计算安全扩展要求
云计算安全扩展要求章节针对云计算的特点提出特殊保护要求。对云计算环境主要增加的内容包括:基础设施的位置、虚拟化安全保护、镜像和快照保护、云服务商选择和云计算环境管理等方面。
7、增加了移动互联网安全扩展要求
移动互联安全扩展要求章节针对移动互联的特点提出特殊保护要求。对移动互联环境主要增加的内容包括:无线接入点的物理位置、移动终端管控、移动应用管控、移动应用软件采购和移动应用软件开发等方面。
8、增加了物联网安全扩展要求
物联网安全扩展要求章节针对物联网的特点提出特殊保护要求。对物联网环境主要增加的内容包括:感知节点的物理防护、感知节点设备安全、感知网关节点设备安全、感知节点的管理和数据融合处理等方面。
9、增加了工业控制系统安全扩展要求
工业控制系统安全扩展要求章节针对工业控制系统的特点提出特殊保护需求。对工业控制系统主要增加的内容包括:室外控制设备防护、工业控制系统网络架构安全、拨号使用控制、无线使用控制和控制设备安全等方面。
10、增加了应用场景的说明
增加附录C描述等级保护安全框架和关键技术,增加附录D描述云计算应用场景,附录E描述移动互联应用场景,附录F描述物联网应用场景,附录G描述工业控制系统应用场景,附录H描述大数据应用场景(安全扩展要求)。
等级保护2.0标准的主要框架和内容
为了让大家更为直观的了解等级保护2.0标准的主要框架和内容,我重点通过PPT来阐述。
首先来看看新标准结构:
2008版基本要求文档结构如下:
新基本要求文档结构如下:
安全通用要求中的安全物理部分变化不大,见下面:
网络试用版到***版被拆分了三个部分:安全通信网络、安全区域边界、安全管理中心。安全管理中心在强调集中管控的时候,再次强调了系统管理,审计管理,安全管理,构成新的标准内容。具体如下:
演讲***,马力副研究员对几个扩展要求进行了总结展示。他强调,GB/T22239-2019《信息安全技术 网络安全等级保护基本要求》将替代原来的GB/T2239-2008《信息安全技术 信息系统安全等级保护基本要求》,并呼吁大家认真学习新版等保要求。
天行健,君子以自强不息;地势坤,君子以厚德载物的权威解释
出自《易经》. 《周易》曰:天行健,君子以自强不息;地势坤,君子以厚德载物。 上句“天行健,君子以自强不息”流传更广。 但两千年来,知者多,能解者少。 而且,在学术界仍有不同的解释,目前,似乎还没有公认的正确训解。 周易原文 《易经》第一卦 乾 乾为天 乾上乾下 象曰:天行健,君子以自强不息。 潜龙勿用,阳在下也。 见龙再田,德施普也。 终日乾乾,反复道也。 或跃在渊,进无咎也。 飞龙在天,大人造也。 亢龙有悔,盈不可久也。 用九,天德不可为首也。 …… 乾元者,始而亨者也。 利贞者,性情也。 乾始能以美利利天下,不言所利。 大矣哉!大哉乾乎!刚健中正,纯粹精也。 六爻发挥,旁通情也。 时乘六龙,以御天也。 云行雨施,天下平也。 君子以成德为行,日可见之行也。 潜之为言也,隐而未见,行而未成,是以君子弗用也。 君子学以聚之,问以辩之,宽以居之,仁以行之。 第二卦 坤 坤为地 坤上坤下 象曰:地势坤,君子以厚德载物。 …… 文言曰:坤至柔,而动也刚,至静而德方,后得主而有常,含万物而化光。 坤其道顺乎! 承天而时行。 积善之家,必有馀庆;积不善之家,必有馀殃。 诠释一: 《易经》中认为: 乾为马,坤为牛。 用马来象征天。 故,天行健,就不难理解,骏马以形容自强不息;坤为牛,以牛来诠释人之品德。 有些古句是不需要详细解释的,关键在于个人的体味。 诠释二: 《易经》曰:天行健,君子以自强不息;地势坤,君子以厚德载物。 “天行健”与“地势坤”失去了对称,怎回事儿? 据帛书《周易》,“干”为“键”,“天行健”乃“天行键”,“键”乃“干”之古字,而“键”又训为“健”,串在一起: 天,行矣,干(键)。 干,健也。 据帛书《周易》,“坤”为“川”,“势”乃“执”,“地势坤”乃“地执川”, “川”乃“坤”之古字,而“川”又训为“顺”,串在一起: 地,执也,坤(川)。 坤,顺也。 “地”也有“原初的肯定性的强力”, “执”执力为“势”,所以“地执坤”变成了“地势坤”。 “执”执持、执守;“势”“势力”、 “形势”,坤之义大矣哉。 人参赞天地化育,参入“存在者之整体”,又能“复”,而得以“见天地之心”。 天、地、人,三才而两之,中道而行,何惑之有? 天行矣,干。 干,健也。 君子以自强不息。 地执也,坤。 坤,顺也。 君子以厚德载物。 诠释三: “天行健”出自《周易》:“天行健,君子以自强不息”(乾卦)、“地势坤,君子以厚德载物”(坤卦)。 意谓:天(即自然)的运动刚强劲健,相应于此,君子应刚毅坚卓,发愤图强;大地的气势厚实和顺,君子应增厚美德,容载万物。 译为:君子应该像天宇一样运行不息,即使颠沛流离,也不屈不挠;如果你是君子,接物度量要像大地一样,没有任何东西不能承载。
“不要迷信书本,也不要迷信权威”这句话的理解
书本和权威只是某些人或者某个人的见解也许他是错的呢?你自己肯应也有对这个事物的见解给你举个例子美国人以前都说人是亚当和夏娃创造的有一个老师在那个时候因为跟学生说人是由类人猿转变的而被警方抓获但是后来呢?亚当和夏娃的传说在当时也是权威可是这个老师就不迷信权威说出自己的感言~最后被证实了~
天津市红桥区人族中学外地子女能高考?
可以的。 不过,得考好自己子女的户籍。 1般在户籍地区参加。
发表评论